為什么服務(wù)器安全很重要？保護服務(wù)器的21個技巧

惡意行為者總是在尋找服務(wù)器漏洞。系統(tǒng)管理員和安全員的職責(zé)是確保服務(wù)器上的數(shù)據(jù)安全可靠。通過實施我們的服務(wù)器安全提示和最佳實踐，大限度地降低風(fēng)險并提高您維護的系統(tǒng)的安全性。

什么是服務(wù)器安全？

服務(wù)器安全是一組保護服務(wù)器免受所有類型威脅的措施，例如DDoS 攻擊、暴力攻擊以及粗心或惡意用戶。這些措施可以包括安裝和維護防火墻、強制執(zhí)行強密碼和用戶身份驗證協(xié)議、安裝防病毒軟件以及進行定期備份以避免數(shù)據(jù)丟失。

為什么服務(wù)器安全很重要？

服務(wù)器在業(yè)務(wù)敏感數(shù)據(jù)處理和存儲中起著關(guān)鍵作用。使用服務(wù)器安全措施保護服務(wù)器免受外部威脅對于維護以下內(nèi)容至關(guān)重要：

正直——服務(wù)器安全性通過防止篡改和意外修改來確保存儲在服務(wù)器上的數(shù)據(jù)的準(zhǔn)確性和完整性。 可用性——安全措施幫助系統(tǒng)管理員保持服務(wù)器及其服務(wù)始終對授權(quán)用戶可用。 機密性——保護存儲在服務(wù)器上的敏感數(shù)據(jù)可防止未經(jīng)授權(quán)的用戶將數(shù)據(jù)用于惡意目的。 聲譽——安全漏洞可能導(dǎo)致數(shù)據(jù)丟失或服務(wù)中斷。這些事件可能會損害公司的聲譽并造成經(jīng)濟損失。 合規(guī)性——大公司受行業(yè)特定法規(guī)的約束，這些法規(guī)要求其服務(wù)器符合某些安全標(biāo)準(zhǔn)。不符合這些標(biāo)準(zhǔn)通常會導(dǎo)致監(jiān)管罰款。 保護服務(wù)器的 21 個技巧

下面列出了提高服務(wù)器安全性的 21 個技巧。它包含專門用于 Internet 連接和用戶管理的部分，您可以在這些方面最有效地提高系統(tǒng)的整體強度。此外，該列表還介紹了整個服務(wù)器安全領(lǐng)域的其他最佳實踐。

安全服務(wù)器連接

1. 建立和使用安全連接

連接到遠程服務(wù)器時，必須建立安全的通信通道。SSH （安全外殼）協(xié)議是建立受保護連接的最佳方式。不同于以前使用的Telnet不同，SSH 訪問對交換中傳輸?shù)乃袛?shù)據(jù)進行加密。要使用 SSH 協(xié)議進行遠程訪問，您必須安裝 SSH 守護程序和 SSH 客戶端來發(fā)出命令和管理服務(wù)器。

默認情況下，SSH 使用端口 22。更改默認端口號是減少黑客攻擊您的服務(wù)器機會的簡單方法。因此，SSH 的最佳實踐是使用 1024 和 32,767 之間的隨機端口號。

2. 使用SSH密鑰認證

您可以使用一對 SSH 密鑰來驗證 SSH 服務(wù)器，而不是密碼，這是傳統(tǒng)登錄的更好替代方法。這些密鑰攜帶的比特數(shù)比密碼多得多，目前的計算機無法輕易破解它們。例如，流行的 RSA 2048 位加密就相當(dāng)于一個 617 位密碼。

SSH 密鑰對由公鑰和私鑰組成。公鑰有多個副本，其中一個留在服務(wù)器上，其他的則與用戶共享。擁有公鑰的任何人都具有加密數(shù)據(jù)的能力，而只有擁有相應(yīng)私鑰的用戶才能讀取這些數(shù)據(jù)。私鑰不得與任何人共享，必須妥善保管。建立連接時，服務(wù)器會在允許特權(quán)訪問之前要求提供用戶擁有私鑰的證據(jù)。

3. 安全文件傳輸協(xié)議

使用安全文件傳輸協(xié)議 (FTPS)有助于將文件傳輸?shù)椒?wù)器或從服務(wù)器傳輸文件，而不會有惡意行為者破壞或竊取數(shù)據(jù)的危險。FTPS 使用命令和數(shù)據(jù)通道來加密數(shù)據(jù)文件和身份驗證信息。但是，請務(wù)必記住，F(xiàn)TPS 僅在傳輸過程中保護文件。一旦他們到達服務(wù)器，數(shù)據(jù)就不再加密。出于這個原因，在發(fā)送文件之前加密文件增加了另一層安全性。

4. 安全套接字層證書

使用安全套接字層 (SSL)保護您的 Web 管理區(qū)域和表單，保護通過 Internet 在兩個系統(tǒng)之間傳遞的信息。SSL 可用于服務(wù)器-客戶端和服務(wù)器-服務(wù)器通信。

該程序?qū)?shù)據(jù)進行加密，以便敏感信息（例如姓名、身份證、信用卡號碼和其他個人信息）不會在傳輸過程中被盜。具有SSL 證書的網(wǎng)站在 URL 中帶有HTTPS ，表明它們是安全的。

證書不僅加密數(shù)據(jù)，還用于用戶身份驗證。因此，通過管理服務(wù)器的證書，SSL 有助于建立用戶權(quán)限。管理員可以將服務(wù)器配置為與中央機構(gòu)和該機構(gòu)簽署的任何其他證書進行通信。

5. 使用專用網(wǎng)絡(luò)和 VPN

確保安全通信的另一種方法是使用專用和虛擬專用網(wǎng)絡(luò) (VPN) 以及 OpenVPN 等軟件（請參閱我們在 CentOS 上安裝和配置 OpenVPN 的指南）。與外部世界可以訪問并因此容易受到惡意用戶攻擊的開放網(wǎng)絡(luò)不同，專用和虛擬專用網(wǎng)絡(luò)限制對選定用戶的訪問。

私有網(wǎng)絡(luò)使用私有 IP 在同一 IP 范圍內(nèi)的服務(wù)器之間建立隔離的通信通道。這允許同一網(wǎng)絡(luò)中的多個服務(wù)器在不暴露于公共空間的情況下交換信息和數(shù)據(jù)。當(dāng)您想像通過專用網(wǎng)絡(luò)在本地連接一樣連接到遠程服務(wù)器時，請使用 VPN。VPN 支持完全安全和私密的連接，并且可以包含多個遠程服務(wù)器。對于在同一 VPN 下通信的服務(wù)器，它們必須共享安全和配置數(shù)據(jù)。

服務(wù)器用戶管理

6. 監(jiān)控登錄嘗試

使用入侵防御軟件來監(jiān)控登錄嘗試是一種保護您的服務(wù)器免受暴力攻擊的方法。這些自動攻擊使用試錯法，嘗試每一種可能的字母和數(shù)字組合來訪問系統(tǒng)。入侵防御軟件監(jiān)督所有日志文件并檢測是否有可疑的登錄嘗試。當(dāng)嘗試次數(shù)超過設(shè)定的標(biāo)準(zhǔn)時，入侵防御軟件會在一段時間內(nèi)或無限期地封鎖該 IP 地址。

7. 管理用戶

每個服務(wù)器都有一個可以執(zhí)行任何命令的根用戶。由于它具有的訪問級別，如果服務(wù)器落入壞人之手，root 可能會很危險。完全禁用 SSH 的根登錄是一種普遍的做法。

由于 root 用戶擁有大的權(quán)限，因此黑客將注意力集中在嘗試破解 root 密碼上。當(dāng)您完全禁用此用戶時，您會使攻擊者處于不利地位并保護服務(wù)器免受潛在威脅。為確保外人不會濫用 root 權(quán)限，請創(chuàng)建一個受限用戶帳戶。此帳戶沒有與 root 相同的權(quán)限，但可以使用sudo 命令執(zhí)行管理任務(wù)。因此，您可以使用有限的用戶帳戶管理大多數(shù)任務(wù)，并且僅在必要時才使用 root 帳戶。

服務(wù)器密碼安全

8. 建立密碼要求

首先是設(shè)置所有服務(wù)器用戶必須遵守的密碼要求和規(guī)則。請遵循以下基本規(guī)則：

不允許空密碼或默認密碼。 強制執(zhí)行最小密碼長度和復(fù)雜性。 有鎖定政策。 不要使用可逆加密存儲密碼。 為不活動強制會話超時并啟用雙因素身份驗證。

9. 設(shè)置密碼過期策略

設(shè)置密碼的到期日期是建立用戶需求時的另一種常規(guī)做法。根據(jù)所需的安全級別，密碼可能會持續(xù)數(shù)周或數(shù)月。

10. 使用密碼作為服務(wù)器密碼

使用密碼而不是密碼可以幫助提高服務(wù)器安全性。主要區(qū)別在于密碼短語更長并且單詞之間包含空格。因此，它通常是一個句子，但不一定是一個。例如，密碼密碼可能是：Ilove!EatingPizzaAt1676MainSt。給定的示例比通常的密碼更長，并且包含大寫和小寫字母、數(shù)字和唯一字符。此外，記住密碼比記住一串隨機字母要容易得多。最后，由于它由 49 個字符組成，因此更難破解。

11. 密碼禁忌

如果您想維護一個安全的服務(wù)器，那么在密碼方面您需要避免一些事情。請注意存儲密碼的位置。不要把它們寫在紙上，放在辦公室里。

建議不要使用個人信息，例如您的生日、家鄉(xiāng)、寵物名稱和其他可以將您與密碼聯(lián)系起來的東西。這些非常容易猜到，尤其是認識你的人。僅包含簡單字典單詞的密碼也很容易破解，尤其是通過字典（暴力）攻擊。此外，盡量避免在同一密碼中重復(fù)字符序列。

最后，不要對多個帳戶使用相同的密碼。通過回收密碼，您將自己置于重大風(fēng)險之中。如果黑客設(shè)法獲得對單個帳戶的訪問權(quán)限，則使用相同密碼的所有其他帳戶都可能處于危險之中。嘗試為每個帳戶使用不同的密碼，并使用KeePass 等密碼管理器跟蹤它們。

保護服務(wù)器的其他最佳實踐

12. 定期更新和升級軟件

定期更新服務(wù)器上的軟件對于保護服務(wù)器免受黑客攻擊至關(guān)重要。過時的軟件已經(jīng)針對其弱點進行了探索，這讓黑客可以利用并破壞您的系統(tǒng)。

自動更新是保證您不會跳過重要更新的一種方式。但是，允許系統(tǒng)進行自動更改可能會有風(fēng)險。在更新生產(chǎn)環(huán)境之前，最好檢查更新在測試環(huán)境中的執(zhí)行情況。確保定期更新服務(wù)器控制面板。您還需要定期更新您的內(nèi)容管理系統(tǒng)（如果您使用它），以及它可能擁有的任何插件。每個新版本都包含用于修復(fù)已知安全問題的安全補丁。

13. 刪除或關(guān)閉所有不必要的服務(wù)

通過減少所謂的攻擊媒介來提高服務(wù)器安全性。這個網(wǎng)絡(luò)安全術(shù)語指的是僅安裝和維護保持服務(wù)運行所需的最低要求。僅啟用服務(wù)器操作系統(tǒng)和已安裝組件使用的網(wǎng)絡(luò)端口。系統(tǒng)上的內(nèi)容越少越好。Windows 操作系統(tǒng)服務(wù)器應(yīng)僅具有必需的操作系統(tǒng)組件。Linux 操作系統(tǒng)服務(wù)器應(yīng)進行最小化安裝，僅安裝必要的軟件包。

由于大多數(shù) Linux 發(fā)行版都會偵聽 Internet 上的傳入連接，因此請將防火墻配置為僅允許特定端口并拒絕所有其他不必要的通信。在您的系統(tǒng)上安裝軟件之前檢查依賴項，以確保您沒有添加任何您不需要的東西。此外，檢查哪些依賴項在系統(tǒng)上自動啟動，以及您是否需要它們。

14. 隱藏服務(wù)器信息

旨在提供盡可能少的有關(guān)底層基礎(chǔ)設(shè)施的信息。對您的服務(wù)器了解得越少越好。此外，最好隱藏服務(wù)器上安裝的任何軟件的版本號。版本指示器通常會顯示確切的發(fā)布日期，這有助于黑客尋找弱點。

15. 使用入侵檢測系統(tǒng)

要檢測未經(jīng)授權(quán)的活動，請使用入侵檢測系統(tǒng) (IDS)，例如 Sophos，它會監(jiān)控在您的服務(wù)器上運行的進程。您可以將其設(shè)置為檢查日常操作、運行自動定期掃描或決定手動運行 IDS。

16. 檔案審核

文件審計是另一種發(fā)現(xiàn)系統(tǒng)上不需要的更改的有效方法。此方法記錄系統(tǒng)處于健康狀態(tài)時的所有特征，并將其與當(dāng)前狀態(tài)進行比較。通過將同一系統(tǒng)的兩個版本并排比較，您可以檢測到所有不一致之處并追蹤它們的來源。

17. 服務(wù)審計

服務(wù)審計探索服務(wù)器上運行的服務(wù)、它們的協(xié)議以及它們通信所用的端口。了解這些細節(jié)有助于為系統(tǒng)中的攻擊面配置有效的保護。

18. 設(shè)置和維護防火墻

通過控制和限制對系統(tǒng)的訪問來保護您的服務(wù)器。使用 CSF（ConfigServer 和Firewall）對于加強服務(wù)器的安全性至關(guān)重要。它只允許特定的重要連接并鎖定對其他服務(wù)的訪問。在初始服務(wù)器設(shè)置期間或更改服務(wù)器服務(wù)時設(shè)置防火墻。默認情況下，典型的服務(wù)器運行多個公共、私有和內(nèi)部服務(wù)。

公共服務(wù)通常在需要允許訪問網(wǎng)站的 Web 服務(wù)器上運行。任何人都可以通過互聯(lián)網(wǎng)訪問這些服務(wù)。 例如，在處理數(shù)據(jù)庫控制面板時使用私有服務(wù)。在這種情況下，許多選定的用戶可以訪問同一點。他們擁有在服務(wù)器上具有特殊權(quán)限的授權(quán)帳戶。 內(nèi)部服務(wù)永遠不應(yīng)暴露于互聯(lián)網(wǎng)或外部世界。它們只能從服務(wù)器內(nèi)部訪問并且只接受本地連接。

防火墻的作用是根據(jù)用戶被授權(quán)的服務(wù)來允許、限制和過濾訪問。配置防火墻以限制所有服務(wù)，但服務(wù)器必須提供的服務(wù)除外。

19. 備份你的服務(wù)器

盡管前面提到的步驟旨在保護您的服務(wù)器數(shù)據(jù)，但備份系統(tǒng)以防萬一出現(xiàn)問題至關(guān)重要。將關(guān)鍵數(shù)據(jù)的加密備份存儲在異地或使用云數(shù)據(jù)備份和恢復(fù)解決方案。無論您有自動備份作業(yè)還是手動執(zhí)行備份作業(yè)，請確保將此預(yù)防措施作為例行程序。此外，您應(yīng)該執(zhí)行全面的備份測試。這包括“健全性檢查”，管理員或最終用戶在其中驗證數(shù)據(jù)恢復(fù)是否一致。

20. 創(chuàng)建多服務(wù)器環(huán)境

隔離是您可以擁有的最好的服務(wù)器保護類型之一。完全分離需要擁有不與其他服務(wù)器共享任何資源的專用裸機服務(wù)器。盡管此方法提供了最高的安全性，但它也是最昂貴的。在數(shù)據(jù)中心隔離執(zhí)行環(huán)境允許所謂的職責(zé)分離 (SoD) 并根據(jù)服務(wù)器實現(xiàn)的功能設(shè)置服務(wù)器配置。

將數(shù)據(jù)庫服務(wù)器和 Web 應(yīng)用程序服務(wù)器分開是一種標(biāo)準(zhǔn)的安全做法。單獨的執(zhí)行環(huán)境對于無法承受任何安全漏洞的大型企業(yè)特別有利。獨立的數(shù)據(jù)庫服務(wù)器保護敏感信息和系統(tǒng)文件免受設(shè)法獲得管理帳戶訪問權(quán)限的黑客的攻擊。此外，隔離讓系統(tǒng)管理員可以單獨配置 Web 應(yīng)用程序安全性并大限度地減少攻擊面。

21. 創(chuàng)建虛擬隔離環(huán)境

如果您負擔(dān)不起或不需要與專用服務(wù)器組件完全隔離，您也可以選擇隔離執(zhí)行環(huán)境。這樣做可以幫助您處理安全問題，同時確保其他數(shù)據(jù)不會受到損害。您可以在更易于設(shè)置的容器或 VM 虛擬化之間進行選擇。UNIX 操作系統(tǒng)中虛擬化環(huán)境的另一個選擇是創(chuàng)建 chroot 監(jiān)獄。Chroot 將進程從中央操作系統(tǒng)的根目錄中分離出來，并只允許它訪問其目錄樹中的文件。但是，這不是完全隔離，只能與其他安全措施一起使用。

結(jié)論

閱讀本文并遵循安全建議后，您應(yīng)該對服務(wù)器安全性更有信心。其中許多安全措施應(yīng)在初始服務(wù)器設(shè)置期間實施，而其他措施應(yīng)作為持續(xù)或定期維護的一部分。如果您的服務(wù)器監(jiān)控不是自動化的，請確保設(shè)計并遵循預(yù)定的安全檢查。為了及時了解網(wǎng)絡(luò)安全的最佳實踐，我們建議您考慮網(wǎng)絡(luò)安全認證，并在許多可用的播客上關(guān)注安全領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者。

網(wǎng)站標(biāo)題：為什么服務(wù)器安全很重要？保護服務(wù)器的21個技巧
文章網(wǎng)址：http://www.bm7419.com/news38/324588.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、網(wǎng)站營銷、全網(wǎng)營銷推廣、外貿(mào)建站、自適應(yīng)網(wǎng)站、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)